Introdução às Atualizações de Software no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

As atualizações de software do System Center 2012 Configuration Manager fornecem um conjunto de ferramentas e recursos que podem ajudar a gerir a complexa tarefa de controlar e aplicar atualizações de software em computadores cliente na empresa. É necessário um processo de gestão de atualizações de software eficaz para manter a eficiência operacional, ultrapassar problemas de segurança e manter a estabilidade da infraestrutura de rede. No entanto, devido à natureza evolutiva da tecnologia e ao aparecimento contínuo de novas ameaças de segurança, a gestão eficiente das atualizações de software exige uma atenção consistente e contínua.

Consulte as secções seguintes para obter mais informações sobre atualizações de software:

  • Sincronização de Atualizações de Software

  • Avaliação da Compatibilidade das Atualizações de Software

  • Pacotes de Implementação de Atualização de Software

  • Fluxos de Trabalho de Implementação de Atualização de Software

  • Processo de Implementação de Atualização de Software

  • Expandir Atualizações de Software no Configuration Manager

  • Suporte para Dispositivos Windows Embedded que Utilizam Filtros de Escrita

  • Proteção de Acesso à Rede

  • Novidades do Configuration Manager

  • Novidades do Configuration Manager SP1

  • Novidades do System Center 2012 R2 Configuration Manager

Para um cenário de exemplo que mostra como poderá implementar atualizações de software no seu ambiente, consulte Cenário de Exemplo de Utilização do Configuration Manager para Implementar e Monitorizar as Atualizações de Software de Segurança Publicadas Mensalmente pela Microsoft.

Sincronização de Atualizações de Software

A sincronização de atualizações de software no Gestor de configuração utiliza o Microsoft Update para obter metadados de atualizações de software. O site de nível superior (site de administração central ou site primário autónomo) sincroniza com o Microsoft Update de acordo com um agendamento ou quando a sincronização é iniciada manualmente a partir da consola do Gestor de configuração. Quando o Gestor de configuração concluir a sincronização de atualizações de software no site de nível superior, esta será iniciada nos sites subordinados, se existirem. Quando a sincronização estiver concluída em todos os sites primários ou secundários, será criada uma política ao nível do site que fornecerá aos computadores cliente a localização dos pontos de atualização de software.

Nota

As atualizações de software estão ativadas por predefinição nas definições de cliente. No entanto, se definir a definição de cliente Ativar atualizações de software nos clientes para Não para desativar as atualizações de software numa coleção ou nas predefinições, a localização dos pontos de atualização de software não é enviada aos clientes associados. Para mais informações sobre as definições de cliente das atualizações de software, consulte a secção Atualizações de Software do tópico Acerca de Definições de Cliente no Configuration Manager.

Após o cliente receber a política, o cliente inicia uma verificação da compatibilidade das atualizações de software e escreve as informações no Windows Management Instrumentation (WMI). As informações de compatibilidade são depois enviadas para o ponto de gestão que, por sua vez, as envia para o servidor do site. Para mais informações sobre a avaliação de compatibilidade, consulte a secção Avaliação da Compatibilidade das Atualizações de Software deste tópico.

Para o System Center 2012 Configuration Manager SP1 e posterior:

A partir do Gestor de configuração SP1, é possível instalar vários pontos de atualização de software num site primário. O primeiro ponto de atualização de software instalado é configurado como origem de sincronização. Este procedimento sincroniza a partir do Microsoft Update ou de um servidor WSUS não pertencente à hierarquia do Gestor de configuração. Os outros pontos de atualização de software do site utilizam o primeiro ponto de atualização de software como origem de sincronização.

Nota

Quando o processo de sincronização de atualizações de software estiver concluído no site de nível superior, os metadados de atualizações de software são replicados para os sites subordinados através de replicação de base de dados. Quando liga uma consola do Gestor de configuração ao site subordinado, o Gestor de configuração apresenta os metadados de atualizações de software. No entanto, até que seja instalado e configurado um ponto de atualização de software no site, os clientes não analisarão a compatibilidade das atualizações de software, não comunicarão as informações de compatibilidade ao Gestor de configuração, e não será possível implementar atualizações de software com sucesso.

Sincronização no Site de Nível Superior

O processo de sincronização de atualizações de software no site de nível superior obtém no Microsoft Update os metadados de atualizações de software que satisfazem os critérios especificados nas propriedades do Componente do Ponto de Atualização de Software. Os critérios são configurados apenas no site de nível superior.

Nota

A partir do Gestor de configuração SP1, no site de nível superior, é possível especificar como origem de sincronização um servidor WSUS que não pertença à hierarquia do Gestor de configuração, em vez do Microsoft Update.

A lista seguinte descreve os passos básicos do processo de sincronização no site de nível superior:

  1. A sincronização de atualizações de software é iniciada.

  2. O Gestor de Sincronização WSUS envia um pedido ao WSUS em execução no ponto de atualização de software para iniciar a sincronização com o Microsoft Update.

  3. Os metadados de atualizações de software são sincronizados a partir do Microsoft Update e as alterações são inseridas ou atualizadas na base de dados do WSUS.

  4. Quando o WSUS concluir a sincronização, o Gestor de Sincronização WSUS sincroniza os metadados de atualizações de software da base de dados do WSUS com a base de dados do Gestor de configuração e as alterações após a última sincronização são inseridas ou atualizadas na base de dados do site. Os metadados de atualizações de software são armazenados na base de dados do site como um item de configuração.

  5. Os itens de configuração de atualizações de software são enviados aos sites subordinados através de replicação de base de dados.

  6. Quando a sincronização tiver sido concluída com sucesso, o Gestor de Sincronização do WSUS cria a mensagem de estado 6702.

  7. O Gestor de Sincronização WSUS envia um pedido de sincronização a todos os sites subordinados.

  8. Para um site primário autónomo que esteja a executar apenas o System Center 2012 Configuration Manager SP1:

    O Gestor de Sincronização WSUS envia um pedido de cada vez para o WSUS em execução noutros pontos de atualização de software no site. Os servidores WSUS nos outros pontos de atualização de software estão configurados para serem réplicas dos WSUS em execução no ponto de atualização de software predefinido do site.

Sincronização em Sites Primários e Secundários Subordinados

Durante o processo de sincronização de atualizações de software no site de nível superior, os itens de configuração de atualizações de software são replicados para sites subordinados através de replicação de base de dados. No final do processo, o site de nível superior envia um pedido de sincronização ao site subordinado e este inicia a sincronização do WSUS. A lista seguinte fornece os passos básicos para o processo de sincronização num site primário ou secundário subordinado:

  1. O Gestor de Sincronização WSUS recebe um pedido de sincronização do site de nível superior.

  2. A sincronização de atualizações de software é iniciada.

  3. O Gestor de Sincronização WSUS envia ao WSUS em execução no ponto de atualização de software um pedido para iniciar a sincronização.

  4. O WSUS em execução no ponto de atualização de software no site subordinado sincroniza os metadados de atualizações de software a partir do WSUS em execução no ponto de atualização de software com o site principal.

  5. Quando a sincronização tiver sido concluída com sucesso, o Gestor de Sincronização do WSUS cria a mensagem de estado 6702.

  6. A partir de um site primário, o Gestor de Sincronização WSUS envia um pedido de sincronização a qualquer site secundário subordinado. O site secundário inicia a sincronização de atualizações de software com o site primário principal. O site secundário está configurado como uma réplica do WSUS em execução no site principal.

  7. Apenas para o Gestor de configuração sem nenhum Service Pack:

    Quando existe um ponto de atualização de software remoto baseado na Internet, o Gestor de Sincronização WSUS inicia o processo de sincronização com o WSUS em execução no sistema de sites remoto.

  8. Para o System Center 2012 Configuration Manager SP1 e posterior: 

    O Gestor de Sincronização WSUS envia um pedido de cada vez para o WSUS em execução noutros pontos de atualização de software no site. Os servidores WSUS nos outros pontos de atualização de software estão configurados para serem réplicas dos WSUS em execução no ponto de atualização de software predefinido do site.

Sincronização de Pontos de Atualização de Software Baseados na Internet

System_CAPS_importantImportante

Esta secção aplica-se apenas ao Gestor de configuração sem Service Pack.

Quando a sincronização do ponto de atualização de software ativo num site estiver concluída, a sincronização é iniciada para o ponto de atualização de software ativo baseado na Internet do site, caso esteja configurado. Este processo assemelha-se ao processo de sincronização em sites subordinados, com a exceção de que o WSUS em execução no ponto de atualização de software ativo baseado na Internet sincroniza com o WSUS em execução no ponto de atualização de software ativo do mesmo site.

  1. O Gestor de Sincronização WSUS envia ao WSUS em execução no ponto de atualização de software remoto baseado na Internet um pedido para iniciar a sincronização.

  2. O WSUS em execução no ponto de atualização de software remoto baseado na Internet sincroniza metadados de atualizações de software do WSUS em execução no ponto de atualização de software ativo do mesmo site.

  3. Quando a sincronização tiver sido concluída com sucesso, o Gestor de Sincronização do WSUS cria a mensagem de estado 6702.

  4. O Gestor de Sincronização WSUS envia um pedido de sincronização a todos os sites subordinados.

Se a origem de sincronização configurada para o ponto de atualização de software baseado na Internet não estiver configurada para sincronizar com um servidor de atualização a montante, é possível utilizar as funções Export e Import da ferramenta WSUSutil para sincronizar metadados de atualizações de software de um ponto de software ativo para o site. Para obter mais informações, consulte a secção Sincronizar Atualizações de Software a Partir de um Ponto de Atualização de Software Desligado do tópico Configurar Atualizações de Software no Configuration Manager.

Avaliação da Compatibilidade das Atualizações de Software

Antes de implementar atualizações de software nos computadores cliente do Gestor de configuração, inicie uma análise de compatibilidade das atualizações de software nos computadores cliente. Para cada atualização de software, é criada uma mensagem de estado que contém o estado de compatibilidade da atualização. As mensagens de estado são enviadas em massa para o ponto de gestão e depois para o servidor do site, onde o estado de compatibilidade é introduzido na base de dados do site. O estado de compatibilidade das atualizações de software é apresentado na consola do Gestor de configuração. É possível implementar e instalar atualizações de software em computadores que necessitem das atualizações. As secções seguintes fornecem informações sobre os estados de compatibilidade e descrevem o processo de análise de compatibilidade das atualizações de software.

Estados de Compatibilidade das Atualizações de Software

A tabela seguinte lista e descreve cada estado de compatibilidade de atualizações de software que é apresentado na consola do Gestor de configuração.

Estado

Descrição

Necessário

Especifica que a atualização de software é aplicável e necessária no computador cliente. Qualquer uma das seguintes condições poderá ser verdadeira quando o estado de atualização de software for Necessária:

  • A atualização de software não foi implementada para o computador cliente.

  • A atualização de software foi instalada no computador cliente. No entanto, a mensagem de estado mais recente ainda não foi inserida na base de dados do servidor do site. O computador cliente volta a analisar a atualização após a conclusão da instalação. Pode existir um atraso máximo de dois minutos para que o cliente envie o estado atualizado para o ponto de gestão, que depois reencaminha o estado atualizado para o servidor do site.

  • A atualização de software foi instalada no computador cliente. No entanto, a instalação da atualização de software necessita de um reinício do computador para que a atualização seja concluída.

  • A atualização de software foi implementada no computador cliente, mas ainda não foi instalada.

Não Necessária

Especifica que a atualização de software não é aplicável no computador cliente. Por conseguinte, a atualização de software não é necessária.

Instalada

Especifica que a atualização de software é aplicável no computador cliente e que o computador cliente já tem a atualização de software instalada.

Desconhecido

Especifica que o servidor do site não recebeu uma mensagem de estado do computador cliente, normalmente por um dos seguintes motivos:

  • O computador cliente não analisou com sucesso a compatibilidade das atualizações de software.

  • A análise foi concluída com sucesso no computador cliente. No entanto, a mensagem de estado ainda não foi processada no servidor do site, possivelmente devido a uma mensagem de estado pendente.

  • A análise foi concluída com sucesso no computador cliente, mas a mensagem de estado não foi recebida do site subordinado.

  • A análise foi concluída com sucesso no computador cliente, mas o ficheiro de mensagem de estado estava danificado de alguma forma e não pôde ser processado.

Análise do Processo de Compatibilidade de Atualizações de Software

Quando o ponto de atualização de software está instalado e sincronizado, é criada uma política de computador ao nível do site que informa os computadores cliente de que as Atualizações de Software do Gestor de configuração foram ativadas para o site. Quando um cliente recebe a política de computador, é agendada uma análise da avaliação da compatibilidade para ser iniciada aleatoriamente nas duas horas seguintes. Quando a análise é iniciada, um processo do Agente de Cliente de Atualizações de Software limpa o histórico de análise, envia um pedido para localizar o servidor WSUS que deve ser utilizado na análise e atualiza a Política de Grupo local com a localização do servidor WSUS.

Nota

Os clientes baseados na Internet devem ligar ao servidor WSUS utilizando SSL.

Um pedido de análise é transmitido ao Windows Update Agent (WUA). O WUA liga-se à localização do servidor WSUS listada na política local, obtém os metadados de atualizações de software que foram sincronizados no servidor WSUS e analisa o computador cliente para a existência de atualizações. Um processo do Agente de Cliente de Atualizações de Software deteta que a análise da compatibilidade terminou e cria mensagens de estado para cada atualização do software que sofreu uma mudança no estado de compatibilidade após a última análise. As mensagens de estado são enviadas para o ponto de gestão em massa, em 15 minutos. Em seguida, o ponto de gestão reencaminha as mensagens de estado para o servidor local, onde as mensagens de estado são inseridas na base de dados do servidor de sites.

Depois da análise inicial da compatibilidade das atualizações de software, a análise é iniciada de acordo com o agendamento configurado da análise. No entanto, se o cliente tiver realizado uma análise para a compatibilidade das atualizações de software dentro do prazo temporal indicado pelo valor tempo restante (TTL - Time to Live), o cliente utiliza os metadados de atualizações de software armazenados a nível local. Quando a última análise se situa fora do TTL, o cliente tem de se ligar ao WSUS em execução no ponto de atualização de software e atualizar os metadados de atualizações de software armazenados no cliente.

Incluindo o agendamento da análise, a análise para a compatibilidade das atualizações de software pode ser iniciada das seguintes formas:

  • Agendamento da análise de atualizações de software: A análise para a compatibilidade das atualizações de software inicia-se de acordo com o configurado da análise e que está configurado nas definições do Agente de Cliente de Atualizações de Software. Para mais informações sobre como configurar as definições de cliente das Atualizações de Software, consulte a secção Atualizações de Software do tópico Acerca de Definições de Cliente no Configuration Manager.

  • Ação de Propriedades do Configuration Manager: O utilizador pode iniciar a ação Ciclo de Análise de Atualizações de Software ou Ciclo de Avaliação de Implementação de Atualizações de Software no separador Ação da caixa de diálogo Propriedades do Configuration Manager no computador cliente.

  • Agendamento de reavaliação da implementação: A avaliação da implementação e a análise para a compatibilidade das atualizações de software iniciam-se de acordo com o agendamento configurado de reavaliação da implementação, o qual está configurado nas definições do Agente de Cliente de Atualizações de Software. Para mais informações sobre as definições de cliente das Atualizações de Software, consulte a secção Atualizações de Software do tópico Acerca de Definições de Cliente no Configuration Manager.

  • Antes da transferência de ficheiros de atualização: Quando um computador cliente recebe uma atribuição de política para uma nova implementação necessária, o Agente de Cliente de Atualizações de Software transfere os ficheiros de atualização de software para a cache do cliente local. Antes de transferir os ficheiros de atualização de software, o agente de cliente inicia uma análise para verificar se a atualização de software é ainda necessária.

  • Antes da instalação da atualização de software: Imediatamente antes da instalação da atualização de software, o Agente de Cliente de Atualizações de Software inicia uma análise para verificar se as atualizações de software são ainda necessárias.

  • Depois da instalação da atualização de software: Imediatamente depois da instalação de uma atualização de software estar concluída, o Agente de Cliente de Atualizações de Software inicia uma análise para verificar se as atualizações de software deixaram de ser necessárias e cria uma nova mensagem de estado que indica que a atualização de software está instalada. Quando a instalação estiver terminada, mas se for necessário um reinício, a mensagem de estado indica um reinício pendente no computador cliente.

  • Depois do reinício do sistema: No caso de um reinício do sistema pendente no computador cliente para a instalação da atualização de software terminar, o Agente de Cliente de Atualizações de Software inicia uma análise depois do reinício para verificar se a atualização de software deixou de ser necessária e cria uma mensagem de estado que indica que a atualização de software está instalada.

Valor de TTL

Os metadados de atualizações de software que são necessários para a análise da compatibilidade das atualizações de software são armazenados no computador cliente local e, por predefinição, são relevantes até um máximo de 24 horas. Este valor é conhecido como o tempo restante (TTL).

Análise dos Tipos de Compatibilidade de Atualizações de Software

O cliente analisa a compatibilidade de atualizações de software utilizando uma análise online ou offline e uma análise forçada ou não forçada, dependendo do modo como a análise da compatibilidade das atualizações de software é iniciada. A tabela seguinte descreve se os métodos para iniciar a análise estão online ou offline e se a análise é forçada ou não forçada.

Método de análise

Tipo de análise

Descrição

Agendamento da análise de atualizações de software

Análise online não forçada

No agendamento configurado da análise, o cliente liga-se ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software apenas quando a última análise se situou fora do valor TTL.

Ciclo de Análise de Atualizações de Software

ou

Ciclo de Avaliação da Implementação de Atualizações de Software

Análise online forçada

O computador cliente liga-se sempre ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software antes de o computador cliente analisar a compatibilidade das atualizações de software. Uma vez concluída a análise, o contador TTL é reposto. Por exemplo, se o TTL corresponder a 24 horas, após um utilizador iniciar uma análise para a compatibilidade das atualizações de software, o TTL é reposto para 24 horas.

Agendamento de reavaliação da implementação

Análise online não forçada

No agendamento configurado de reavaliação da implementação, o cliente liga-se ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software apenas quando a última análise se situou fora do valor TTL.

Antes da transferência de ficheiros de atualização

Análise online não forçada

Antes de o cliente poder transferir ficheiros de atualização nas implementações necessárias, o cliente liga-se ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software apenas quando a última análise se situou fora do valor TTL.

Antes da instalação da atualização de software

Análise online não forçada

Antes de o cliente instalar atualizações de software nas implementações necessárias, o cliente liga-se ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software apenas quando a última análise se situou fora do valor TTL.

Depois da instalação da atualização de software

Análise offline forçada

Depois da instalação de uma atualização de software, o Agente de Cliente de Atualizações de Software inicia uma análise utilizando os metadados locais. O cliente nunca se liga ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software.

Depois do reinício do sistema

Análise offline forçada

Depois da instalação de uma atualização de software e do reinício do computador, o Agente de Cliente de Atualizações de Software inicia uma análise utilizando os metadados locais. O cliente nunca se liga ao WSUS em execução no ponto de atualização de software para obter os metadados de atualizações de software.

Pacotes de Implementação de Atualização de Software

Um pacote de implementação de atualização de software é o veículo utilizado para transferir atualizações de software para uma pasta de rede partilhada e copiar os ficheiros de origem de atualização de software para a biblioteca de conteúdos em servidores de sites e em pontos de distribuição que estão definidos na implementação. Utilizando o Assistente para Transferir Atualizações, pode transferir atualizações de software e adicioná-las a pacotes de implementação antes de implementá-las. Este assistente permite-lhe aprovisionar atualizações de software em pontos de distribuição e verificar se esta parte do processo de implementação é bem-sucedida antes de implementar as atualizações de software em clientes.

Quando implementa atualizações de software transferidas utilizando o Assistente para Implementar Atualizações de Software, a implementação utiliza automaticamente o pacote de implementação que contém as atualizações de software. Quando são implementadas atualizações de software que não foram transferidas, terá de especificar um pacote de implementação novo ou existente no Assistente para Implementar Atualizações de Software, e as atualizações de software são transferidas quando o assistente termina.

System_CAPS_importantImportante

Tem de criar manualmente a pasta de rede partilhada para os ficheiros de origem do pacote de implementação antes de especificá-la no assistente. Cada pacote de implementação tem de utilizar uma pasta de rede partilhada diferente.

System_CAPS_security Segurança Nota

A conta de computador do Fornecedor de SMS e o utilizador administrativo que transfere verdadeiramente as atualizações de software requerem ambos permissões de Escrita para a origem do pacote. Restrinja o acesso à origem do pacote para reduzir o risco de um intruso adulterar os ficheiros de origem das atualizações de software na origem do pacote.

Quando é criado um novo pacote de implementação, a versão do conteúdo é definida para 1 antes de serem transferidas quaisquer atualizações de software. Quando os ficheiros de atualização do software são transferidos utilizando o pacote, a versão do conteúdo é aumentada para 2. Portanto, todos os novos pacotes de implementação começam com a versão de conteúdo 2. Sempre que o conteúdo é alterado num pacote de implementação, a versão de conteúdo é aumentada em 1. Para mais informações sobre a gestão de conteúdos no Gestor de configuração, consulte Introdução à gestão de conteúdo no Configuration Manager.

Os clientes instalam atualizações de software numa implementação através da utilização de qualquer ponto de distribuição que tenha as atualizações de software disponíveis, independentemente do pacote de implementação. Mesmo se um pacote de implementação for eliminado para uma implementação ativa, os clientes podem ainda instalar as atualizações de software na implementação desde que cada atualização tenha sido transferida para pelo menos um outro pacote de implementação e esteja disponível num ponto de distribuição ao qual se pode aceder a partir do cliente. Quando é eliminado o último pacote de implementação que contém uma atualização de software, os computadores cliente não conseguem obter a atualização de software até a atualização ser transferida novamente para um pacote de implementação. As atualizações de software aparecem com uma seta vermelha na consola do Gestor de configuração quando os ficheiros de atualização não se encontram em quaisquer pacotes de implementação. As implementações aparecem com uma seta dupla vermelha se contiverem quaisquer atualizações nesta condição.

Fluxos de Trabalho de Implementação de Atualização de Software

Existem dois cenários principais para implementar atualizações de software no seu ambiente, implementação manual e implementação automática. Normalmente, implementa manualmente as atualizações de software para criar uma linha base para computadores cliente e, de seguida, gere as atualizações de software em clientes utilizando a implementação automática. As secções seguintes fornecem um resumo do fluxo de trabalho para a implementação manual e automática para atualizações de software.

Implementação Manual de Atualizações de Software

Uma implementação manual de atualizações de software é o processo de selecionar atualizações de software na consola do Gestor de configuração e iniciar manualmente o processo de implementação. Normalmente, utiliza este método de implementação para garantir a atualização dos computadores cliente com atualizações de software necessárias antes de criar regras de implementação automática para gerir implementações mensais em curso de atualização de software, e para implementar requisitos de atualização de software fora de banda. A lista seguinte apresenta o fluxo de trabalho geral para a implementação manual de atualizações de software:

  1. Filtre para atualizações de software que utilizam requisitos específicos. Por exemplo, pode fornecer critérios que obtém todas as atualizações de software de segurança ou críticas que são necessárias em mais de 50 computadores clientes.

  2. Crie um grupo de atualização de software que contém as atualizações de software.

  3. Transfira o conteúdo das atualizações de software no grupo de atualização de software.

  4. Implemente manualmente o grupo de atualização de software.

Implementação Automática de Atualizações de Software

A implementação automática de atualizações de software é configurada utilizando as regras de implementação automática. Normalmente, utiliza este método de implementação para as atualizações de software mensais (geralmente conhecidas como Patch de Terça-feira) e para gerir atualizações de definição. Quando a regra é executada, as atualizações de software são removidas do grupo de atualização de software (se utilizar um grupo existente), as atualizações de software que cumprem os critérios especificados (por exemplo, todas as atualizações de software de segurança lançadas na última semana) são adicionadas a um grupo de atualização de software, os ficheiros de conteúdos das atualizações de software são transferidos e copiados para pontos de distribuição e as atualizações de software são implementadas em computadores cliente na coleção de destino. A lista seguinte apresenta o fluxo de trabalho geral para a implementação automática de atualizações de software:

  1. Crie uma regra de implementação automática que especifica definições de implementação, tais como as seguintes:

    • Coleção de destino

    • Decida se pretende ativar a implementação ou um relatório sobre a compatibilidade das atualizações de software para os computadores cliente na coleção de destino

    • Critérios de atualizações de software

    • Agendas de avaliação e implementação

    • Experiência de utilizador

    • Transferir propriedades

  2. As atualizações de software são adicionadas a um grupo de atualização de software.

  3. O grupo de atualização de software é implementado nos computadores cliente da coleção de destino, se for especificada.

Tem de determinar qual a estratégia de implementação a utilizar no seu ambiente. Por exemplo, poderá criar a regra de implementação automática e ter por alvo uma coleção de clientes de teste. Depois de verificar se as atualizações de software estão instaladas no grupo de teste, pode alterar a coleção na regra de implementação automática para uma coleção de destino que inclui um conjunto maior de clientes. Os objetos de atualização de software que são criados pelas regras de implementação automática são interativos.

  • As atualizações de software que foram implementadas através da utilização de uma regra de implementação automática são implementadas automaticamente em novos clientes adicionados à coleção de destino.

  • Novas atualizações de software adicionadas a um grupo de atualização de software são implementadas automaticamente aos clientes na coleção de destino.

  • Pode ativar ou desativar implementações em qualquer altura para a regra de implementação automática.

Processo de Implementação de Atualização de Software

Depois de implementar atualizações de software ou quando uma regra de implementação automática é executada e implementa atualizações de software, é adicionada uma política de atribuição de política à política da máquina para o site. As atualizações de software são transferidas da localização de transferência, Internet ou pasta de rede partilhada, para a origem do pacote. As atualizações de software são copiadas da origem do pacote para a biblioteca de conteúdos no servidor de sites e, em seguida, copiadas para a biblioteca de conteúdos no ponto de distribuição.

Quando um computador cliente na coleção de destino da implementação recebe a política da máquina, o Agente do Cliente de Atualização de Software inicia uma pesquisa de avaliação. O agente do cliente transfere o conteúdo das atualizações de software necessárias a partir de um ponto de distribuição para a cache do cliente local poucos instantes após receber a implementação, embora aguarde pela definição Hora de disponibilização do software da implementação para que as atualizações de software fiquem disponíveis para instalação. As atualizações de software de implementações opcionais (implementações que não tenham um prazo de instalação) não são transferidas até que um utilizador inicie manualmente a instalação.

Após o prazo configurado, o Agente do Cliente de Atualizações de Software executa uma verificação para verificar se as atualizações de software ainda são necessárias. Em seguida, verifica a cache local do computador cliente para verificar se os ficheiros de origem de atualização de software ainda estão disponíveis. Por fim, o cliente instala as atualizações de software. Se o conteúdo tiver sido eliminado da cache do cliente para criar espaço para outra implementação, o cliente volta a transferir as atualizações de software a partir do ponto de distribuição para a cache do cliente. As atualizações de software são sempre transferidas para a cache do cliente, independentemente do tamanho máximo de cache configurado no cliente. Após a conclusão da instalação, o agente do cliente confirma se as atualizações de software já não são necessárias e, em seguida, envia ao ponto de gestão uma mensagem de estado a indicar que as atualizações de software estão atualmente instaladas no cliente.

Reinício de Sistema Necessário

Por predefinição, quando as atualizações de software necessárias de uma implementação são instaladas no computador cliente e é necessário um reinício do sistema para concluir a instalação, o reinício do sistema é iniciado. No caso de atualizações de software que tenham sido instaladas antes do prazo, o reinício automático do sistema é adiado até à data limite, a menos que o computador seja, por algum motivo, reiniciado antes dessa data. No caso de servidores e estações de trabalho, o reinício do sistema pode ser suprimido. Estas definições são configuradas na página Experiência do Utilizador do Assistente de Implementação de Atualização de Software ou do Assistente de Criação de Regra de Atualizações Automáticas.

Ciclo de Reavaliação de Implementações

Por predefinição, os computadores cliente iniciam um ciclo de reavaliação de implementações com intervalos de 7 dias. Durante este ciclo de avaliação, o computador cliente verifica a existência de atualizações de software que tenham sido anteriormente implementadas e instaladas. Se existirem atualizações de software em falta, as atualizações de software serão reinstaladas a partir da cache local. Se uma atualização de software já não estiver disponível na cache local, será transferida a partir de um ponto de distribuição e, em seguida, instalada. Pode configurar a agenda de reavaliação na página Atualizações de Software das definições de cliente do site.

Suporte para Dispositivos Windows Embedded que Utilizam Filtros de Escrita

Para o System Center 2012 Configuration Manager SP1 e posterior:

Ao implementar atualizações de software em dispositivos Windows Embedded que tenham o filtro de escrita ativado, pode especificar se pretende desativar o filtro de escrita no dispositivo durante a implementação e reiniciar o dispositivo após a implementação. Se o filtro de escrita não estiver desativado, o software será implementado numa sobreposição temporária e deixará de ser instalado quando o dispositivo for reiniciado, a menos que outra implementação force a persistência das alterações.

Nota

Ao implementar uma atualização de software num dispositivo Windows Embedded, certifique-se de que o dispositivo é membro de uma coleção que tenha uma janela de manutenção configurada. Desta forma, poderá gerir a desativação e a ativação do filtro de escrita, bem como o reinício do dispositivo.

A definição de experiência de utilizador que controla o comportamento do filtro de escrita consiste numa caixa de verificação designada Confirmar alterações dentro do prazo ou durante a janela de manutenção (requer reinicialização).

Para mais informações sobre como o Gestor de configuração gere dispositivos incorporados que utilizam filtros de escrita, consulte a secção Implementar o Cliente do Configuration Manager em dispositivos Windows Embedded do tópico Introdução à implementação de clientes no Configuration Manager.

Expandir Atualizações de Software no Configuration Manager

Utilize o System Center Updates Publisher 2011 para gerir as atualizações de software que não estejam disponíveis no Microsoft Update. Após a publicação de atualizações de software no servidor de atualização e da sincronização das atualizações de software no Gestor de configuração, pode implementar as atualizações de software em clientes do Gestor de configuração. Para mais informações sobre o Updates Publisher 2011, consulte Updates Publisher 2011.

Proteção de Acesso à Rede

O NAP (Proteção de Acesso à Rede) do Gestor de configuração interage com o Gestor de configuração e a Proteção de Acesso à Rede do Windows para ajudar a proteger a rede.

Proteção de Acesso à Rede com Atualizações de Software

Quando o NAP é ativado, os clientes do Gestor de configuração podem determinar se são, ou não, compatíveis com as atualizações de software que selecionar. Os clientes do Gestor de configuração enviam estas informações através de uma declaração de estado de funcionamento (SoH). Esta é enviada ao Validador de Estado de Funcionamento do Sistema do Gestor de configuração que reside na função do sistema de sites do ponto do Validador de Estado de Funcionamento.

O ponto do Validador do Estado de Funcionamento está instalado num computador que executa o Windows Server 2008 com a função de Servidor de Políticas de Rede. Esta função confirma se o computador cliente é compatível ou não compatível e transmite o estado de funcionamento do computador ao Servidor de Políticas de Rede do Windows.

Impor a Compatibilidade com Atualizações de Software no Servidor de Políticas de Rede

O Servidor de Políticas de Rede do Windows está configurado para utilizar políticas que determinam a ação a tomar para computadores que estejam identificados como compatíveis ou não compatíveis.

Se não for possível determinar o estado de funcionamento de um cliente, esta situação será considerada uma condição de erro. Por predefinição, todas as condições de erro são mapeadas para um estado não compatível. No entanto, encontram-se classificadas em cinco categorias, podendo cada uma ser configurada para um mapeamento como compatível ou não compatível.

As ações que o Servidor de Políticas de Rede pode efetuar com base nos estados de funcionamento do computador incluem as seguintes:

  • Impedir que os computadores tenham acesso total à rede

  • Disponibilizar acesso total à rede, embora por um período limitado

  • Disponibilizar acesso total à rede por um período indefinido

  • Remediar os computadores não compatíveis de forma a torná-los compatíveis com as políticas

Tenha em conta que o utilizador administrativo do Gestor de configuração não poderá controlar a ação que irá ser executada na sequência de um estado de funcionamento de um computador que tenha sido enviado para o Servidor de Políticas de Rede. No entanto, se o Servidor de Políticas de Rede estiver configurado para impor a compatibilidade através de remediação, os serviços do Gestor de configuração serão utilizados para disponibilizar as atualizações de software que sejam necessárias para assegurar a compatibilidade dos clientes não compatíveis. Quando a compatibilidade for remediada com êxito, os clientes reavaliarão a respetiva declaração de estado de funcionamento, a qual mudará posteriormente de não compatível para compatível e o respetivo estado de funcionamento será atualizado para compatível.

Configurar Atualizações de Software para Proteção de Acesso à Rede

Selecione as atualizações de software de que os clientes devem dispor para serem compatíveis através da criação de políticas NAP do Gestor de configuração. Só é possível selecionar atualizações de software que já tenham sido transferidas para a biblioteca de conteúdos do servidor de sites. Ao contrário das implementações de atualizações de software direcionadas para coleções selecionadas, as políticas NAP do Gestor de configuração são automaticamente direcionadas para todos os computadores que estejam atribuídos ao site. As políticas NAP do Gestor de configuração fluem para jusante da hierarquia do Gestor de configuração, tal como acontece com as implementações de software e de pacotes do Gestor de configuração. Os sites que herdam as políticas NAP do Gestor de configuração direcionarão automaticamente as políticas NAP do Gestor de configuração para os clientes atribuídos ao site.

System_CAPS_importantImportante

Devido a este direcionamento e herança automáticos em toda a hierarquia, lembre-se de que uma política de NAP do Gestor de configuração afetará potencialmente todos os clientes da hierarquia.

Novidades do Configuration Manager

Embora os conceitos gerais de implementação de atualizações de software no System Center 2012 Configuration Manager sejam idênticos aos anteriormente existentes no Configuration Manager 2007, estão disponíveis funcionalidades novas ou atualizadas que melhoram o processo de implementação de atualizações de software. Estas funcionalidades incluem a aprovação e implementação automáticas de atualizações de software, a procura melhorada com critérios expandidos, melhoramentos ao nível da monitorização de atualizações de software e maior controlo dos utilizadores para agendamento da instalação de atualizações de software.

Os seguintes itens são novos ou foram alterados desde o Configuration Manager 2007:

  • Os grupos de atualização de software são uma novidade no Gestor de configuração e substituem as listas de atualização que eram utilizadas no Configuration Manager 2007. Os grupos de atualização de software organizam mais eficazmente as atualizações de software no seu ambiente. Pode adicionar manualmente atualizações de software a um grupo de atualização de software ou adicionar as atualizações de software automaticamente a um grupo de atualização de software novo ou existente utilizando uma regra de implementação automática. Também poderá implementar um grupo de Atualização de software manualmente ou automaticamente, utilizando uma regra de implementação automática. Após implementar um grupo de atualização de software, pode adicionar novas atualizações de software ao grupo para que sejam automaticamente implementadas.

  • As regras de implementação automática aprovam e implementam automaticamente as atualizações de software. Pode especificar os critérios das atualizações de software (por exemplo, todas as atualizações do software Windows 7 publicadas na última semana), as atualizações de software são adicionadas a um grupo de atualização de software, as definições de implementação e monitorização são configuradas e é decidido se as atualizações de software devem ser implementadas no grupo de atualização de software. Pode implementar as atualizações de software no grupo de atualização de software ou obter as informações de compatibilidade a partir de computadores cliente relativas às atualizações de software do grupo de atualização de software sem precisar de implementá-las.

  • Estão disponíveis novos critérios de pesquisa e expandidos quando as atualizações de software são indicadas numa lista da consola do Gestor de configuração. Pode adicionar um conjunto de critérios que facilite a localização das atualizações de software que necessita de ter instaladas. Pode guardar os critérios de pesquisa para posterior utilização. Por exemplo, pode definir critérios para todas as atualizações de software críticas do Windows 7, assim como para as atualizações de software que tenham sido disponibilizadas no ano anterior. Após filtrar as atualizações que necessita de ter instaladas, pode selecionar as atualizações de software e rever as informações de compatibilidade de cada atualização de software, criar um grupo de atualização de software que contenha as atualizações de software, implementar manualmente as atualizações de software e assim sucessivamente.

  • Na consola do Gestor de configuração, pode monitorizar os seguintes objetos e processos de atualizações de software:

    • Vistas de compatibilidade e de implementações de atualizações de software importantes

    • Mensagens de estado detalhadas para todas as implementações e ativos

    • Códigos de erro de atualizações de software com informações adicionais para ajudar a identificar problemas

    • Estado de sincronização de atualizações de software

    • Alertas sobre problemas com atualizações de software importantes

    Também estão disponíveis relatórios de atualização de software que disponibilizam informações de estado detalhadas para atualizações de software, grupos de atualização de software e implementações de atualizações de software.

  • As atualizações de software substituídas expiravam automaticamente no Configuration Manager 2007 durante o processo de sincronização completa de atualizações de software para um site. O System Center 2012 Configuration Manager permite-lhe decidir se pretende gerir atualizações de software substituídas, tal como no Configuration Manager 2007, podendo igualmente configurar um período de tempo específico durante o qual a atualização de software não expirará automaticamente após ter sido substituída. Durante este período, pode implementar atualizações de software substituídas.

  • O Gestor de configuração proporciona aos utilizadores maior controlo sobre quando pretendem instalar as atualizações de software nos respetivos computadores. O Centro de Software do Gestor de configuração é uma aplicação que é instalada com o cliente do Gestor de configuração. Os utilizadores executam esta aplicação no menu Iniciar para gerir o software que é implementado nos respetivos computadores. Isto inclui atualizações de software. No Centro de Software, os utilizadores podem agendar a instalação de atualizações de software numa altura conveniente antes do prazo e instalar atualizações de software opcionais. Por exemplo, pode configurar o horário de expediente e fazer com que as atualizações de software sejam executadas fora desse horário, de forma a minimizar as quebras de produtividade. Quando for atingido o prazo de uma atualização de software, a instalação da atualização de software será iniciada.

  • A biblioteca de conteúdos do System Center 2012 Configuration Manager é a localização em que são armazenados todos os ficheiros de conteúdos das atualizações de software, aplicações, implementação do sistema operativo, etc. A biblioteca de conteúdos fornece um arquivo de instâncias único para os ficheiros de conteúdo no servidor de site e pontos de distribuição, oferecendo vantagens sobre a funcionalidade de gestão de conteúdos do Configuration Manager 2007. Por exemplo, no Configuration Manager 2007 poderá distribuir os mesmos ficheiros de conteúdo múltiplas vezes, utilizando diversas implementações e pacotes de implementação. O resultado é que os mesmos ficheiros de conteúdo são armazenados múltiplas vezes no servidor de site e nos pontos de distribuição, gerando uma sobrecarga de processamento desnecessária e requisitos excessivos de espaço em disco.

    Para mais informações sobre a gestão de conteúdo, consulte a secção Biblioteca de Conteúdos do tópico Introdução à gestão de conteúdo no Configuration Manager.

  • Já não existe um nó Modelos de Implementação na consola do Gestor de configuração para a gestão de modelos. Os modelos de implementação apenas podem ser criados no Assistente de Regras de Implementação Automática ou no Assistente de Implementação de Atualização de Software. Os modelos de implementação armazenam muitas das propriedades de implementação que podem manter-se inalteradas entre cada implementação, permitindo aos utilizadores administrativos poupar muito tempo quando implementam atualizações de software.

    Os modelos de implementação podem ser criados para diferentes cenários de implementação no seu ambiente. Por exemplo, pode criar um modelo para implementações de atualizações de software simplificadas e para implementações planeadas. O modelo para implementações simplificadas pode suprimir a apresentação de notificações nos computadores cliente, definir o prazo em zero (0) dias a partir da agenda de implementação e permitir os reinícios de sistemas fora das janelas de manutenção. O modelo para uma implementação planeada pode permitir a apresentação de notificações nos computadores cliente e definir um prazo de 14 dias a partir da agenda de implementação.

  • Quando um cliente baseado na Internet recebe uma implementação, o cliente tenta transferir primeiro os ficheiros de software do Microsoft Update, em vez de recorrer a pontos de distribuição. Quando uma ligação à Microsoft não é bem-sucedida, os clientes utilizam um ponto de distribuição que aloje os ficheiros da atualização de software e que esteja configurado para aceitar comunicações de clientes na Internet.

  • Embora possa continuar a implementar atualizações de software no System Center 2012 Configuration Manager, já não existe um objeto de implementação da atualização de software visível. O objeto de implementação está agora aninhado num grupo de atualizações de software.

  • Existe um limite não configurável de 1000 atualizações de software para uma implementação da atualização de software. Ao criar uma regra de implementação automática, certifique-se de que o critério que especificou não resultará em mais de 1000 atualizações de software. Ao implementar manualmente atualizações de software, não selecione mais de 1000 atualizações para implementar.

  • O nó Proteção de Acesso de Rede da consola do Gestor de configuração e do Assistente de Novas Políticas já não se encontra disponível no System Center 2012 Configuration Manager. Para criar uma política de NAP para atualizações de software, deve selecionar Ativar avaliação de NAP no separador Avaliação de NAP das propriedades de atualização de software.

Novidades do Configuration Manager SP1

Os seguintes itens são novos ou foram alterados para as atualizações de software no Gestor de configuração SP1:

  • Os pontos de atualização de software foram reformulados no Gestor de configuração SP1. Pode instalar vários sistemas de sites de pontos de atualização de software num site. Pode configurar um ponto de atualização de software para estar localizado na mesma floresta que o servidor de sites ou numa floresta diferente, bem como se aceita comunicações de clientes da Internet, da intranet ou de ambos. Este comportamento assegura um determinado nível de tolerância a falhas sem necessidade de um cluster de balanceamento de carga de rede (NLB). Não é possível instalar mais do que um ponto de atualização de software num site secundário. Para obter mais informações, consulte a secção Determinar a Infraestrutura do Ponto de Atualização de Software do tópico Planear atualizações de software no Configuration Manager.

    Nota

    O conceito de ponto ativo de atualização de software foi preterido no Gestor de configuração SP1.

  • Já não existe a opção de configuração de um ponto de atualização de software como NLB na consola do Gestor de configuração. Antes de atualizar do Gestor de configuração sem service pack para o Gestor de configuração SP1, tem de remover o NLB do ponto de atualização de software ativo. Uma vez concluída a atualização, pode optar por configurar o NLB utilizando o cmdlet Set-CMSoftwareUpdatePoint do PowerShell. Para mais informações sobre um ponto de atualização de software configurado para utilizar NLB, consulte a secção Ponto de Atualização de Software Configurado para Utilizar um NLB do tópico Planear atualizações de software no Configuration Manager. Para mais informações sobre o cmdlet Set-CMSoftwareUpdatePoint PowerShell, consulte o tópico Set-CMSoftwareUpdatePoint na Referência de Cmdlets do System Center 2012 Configuration Manager SP1.

  • Atualmente, pode especificar no site de nível superior do Gestor de configuração um servidor WSUS existente como local de origem de sincronização a montante. Durante a sincronização, o site estabelece a ligação a esta localização para sincronizar as atualizações de software. Por exemplo, se dispuser de um servidor WSUS existente que não faça parte da hierarquia do Gestor de configuração, poderá especificar o servidor WSUS existente para sincronizar as atualizações de software.

  • Pode selecionar um dos dois modelos de implementação de atualizações de software incorporados a partir do Assistente de Regras de Implementação Automática. O modelo Atualizações de Definições fornece definições comuns a utilizar quando implementa atualizações de software de definições. O modelo Terça-feira de Patches fornece definições comuns a utilizar quando implementa atualizações de software num ciclo mensal.

  • As propriedades do ponto de atualização do software permitem especificar as credenciais a serem utilizadas pelo servidor de sites a utilizar para estabelecer a ligação ao servidor WSUS. Pode especificar esta conta para estabelecer a ligação a um ponto de atualização de software numa floresta diferente, por exemplo.

  • Pode executar uma regra de implementação automática até 3 vezes por dia para assegurar a correspondência com a frequência de publicação de atualizações de definições do Endpoint Protection.

  • Pode selecionar várias atualizações de software a instalar como um grupo a partir do Centro de Software.

  • Pode controlar o comportamento do filtro de escrita em dispositivos Windows Embedded ao implementar atualizações de software utilizando a nova definição de experiência de utilizador Confirmar alterações ao atingir o prazo ou durante as janelas de manutenção (requer reinicializações). Para mais informações sobre como o Gestor de configuração gere dispositivos incorporados que utilizam filtros de escrita, consulte a secção Implementar o Cliente do Configuration Manager em dispositivos Windows Embedded do tópico Introdução à implementação de clientes no Configuration Manager.

  • A nova definição de cliente Agente do Computador, Desativar a aleatoriedade de prazos, permite desativar o atraso de aleatoriedade da instalação das atualizações de software e das implementações de aplicações necessárias. Para obter mais informações, consulte a secção Agente do Computador do tópico Acerca de Definições de Cliente no Configuration Manager

Novidades do System Center 2012 R2 Configuration Manager

Os seguintes itens são novos ou foram alterados para as atualizações de software do System Center 2012 R2 Configuration Manager:

  • Nova janela de manutenção dedicada à instalação de atualizações de software. Isto permite-lhe configurar uma janela de manutenção geral e uma janela de manutenção diferente para atualizações de software. Quando uma janela de manutenção geral e a janela de manutenção de atualizações de software estão ambas configuradas, os clientes instalam atualizações de software apenas durante a janela de manutenção de atualizações de software. Para mais informações sobre janelas de manutenção, consulte .

  • Pode agora alterar o pacote de implementação para uma regra de implementação automática existente. As novas atualizações de software são adicionadas ao pacote de implementação especificado sempre que for executada uma regra de implementação automática. Com o passar do tempo, os pacotes de implementação podem tornar-se muito volumosos e afetar os cenários de replicação, especialmente quando é adicionado à hierarquia um novo ponto de distribuição ou quando é adicionado um ponto de distribuição a um grupo de pontos de distribuição. Agora, pode alterar o pacote de implementação periodicamente para que o tamanho do mesmo não aumente demasiado. Para mais informações sobre regras de implementação automática, consulte a secção Implementação Automática de Atualizações de Software neste tópico.

  • Agora, pode pré-visualizar as atualizações de software que cumprem os filtros de propriedade e os critérios de procura que definir numa regra de implementação automática. A pré-visualização de atualizações de software permite-lhe rever as atualizações de software antes de criar a implementação. O botão Pré-visualizar está localizado na página Atualizações de Software do Assistente de Implementação Automática e no separador Atualizações de Software das propriedades da regra de implementação automática.